Western Digitalのオンラインストア顧客情報を含むデータベース、不正アクセス者が取得

headless 曰く、

Western Digital は 5 日、3 月に確認されたネットワークセキュリティインシデントで不正アクセス者が顧客の個人情報を含むデータベースを取得していたことが判明したと発表した
(プレスリリース、
Neowin の記事、
Ghacks の記事)。

このセキュリティインシデントは同社のシステム多数に権限のない第三者が不正アクセスしたというもので、3 月 26 日に確認され、4 月 2 日に公表されていた。当初は具体的な被害が確認されておらず、外部のセキュリティおよびフォレンジック専門家の協力により調査を進めていることや、念のため同社のシステムやサービスをオフラインにしたことなどの発表のみだった。My Cloud 製品の障害発生もこれに伴うものだったようだ。

不正に取得されたことが判明したのはオンラインストアの顧客情報を含むデータベースで、顧客の名前や請求先・送付先住所、電子メールアドレスや電話番号のほか、パスワードのソルト付きハッシュやクレジットカード番号の一部が暗号化された状態で含まれていたという。同社は影響を受けた顧客に個別連絡しているとのこと。

このほか、同社の情報とされるものが公開されている件については調査を進めており、同社のコンシューマー製品に関連するデジタル署名技術が不正に用いられる可能性については必要に応じて証明書を無効にすることが可能な状態であると説明している。

現在のところ日本向けサイトに本件の記載はないが、オンラインストアはダウンしている。英語版プレスリリースによれば、オンラインストアのアカウントアクセスは 5 月 15 日の週に復旧予定とのことだ。